可以使用命令行界面 (CLI) 配置系统,以向实施轻量级目录访问协议 (LDAP) 的服务器(包括
Active
Directory (AD))认证用户。
- 已供应的 LDAP 服务器上具有 IBMRBS 许可权“管理者访问权”或“管理者角色”的用户可以管理员身份登录到系统,但不能运行 setlocale 命令。
- 所有认证命令和设置都已禁用。
系统 GUI LDAP 页面上的所有选项都已禁用。
Tip: 如果超级用户正在使用远程轻量级目录访问协议(LDAP 服务器),那么将无法认证该超级用户。 但是,可通过这种方式认证其他用户。
要启用使用 LDAP 进行用户认证,请遵循以下步骤:
- 通过输入 chldap 命令以配置 LDAP。
该命令将提供 Tivoli Directory Server 和 AD 的缺省设置。 例如,要配置为使用 Tivoli Directory Server 模式缺省值和传输层安全性 (TLS) 进行认证,请输入以下命令:
chldap -type itds -security tls
LDAP 配置可以使用
lsldap 命令进行检查。
Note: 使用 TLS 以加密所传送的密码。
- 指定 mkldapserver 命令,以最多定义六台 LDAP 服务器用于认证。
可以配置多台服务器来提供对不同用户组的访问,或用于冗余。 所有服务器都必须共享使用
chldap 配置的设置。
例如,要为 LDAP 服务器配置安全套接字层 (SSL) 证书以及位于
cn=users,dc=company,dc=com 子树中的用户,请输入以下命令:
mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem
此外,还可以配置哪些服务器首选用于认证用户。
指定 lsldapserver 以获取 LDAP 服务器配置信息。 指定 chldapserver 和 rmldapserver 可更改已配置的 LDAP 服务器。
- 通过匹配由认证服务使用的用户组来配置系统上的用户组。
对于认证服务已知的每个期望的组,必须用相同的名称创建系统用户组,并且必须已启用远程设置。 例如,如果名为
sysadmins 的组的成员需要系统管理员 (admin) 角色,请输入以下命令:
mkusergrp -name sysadmins -remote -role Administrator
如果没有任何用户组与系统用户组匹配,那么该用户无法访问系统。
- 使用 testldapserver 命令验证 LDAP 配置。
要测试与 LDAP 服务器的连接,请输入不带任何选项的命令。 可以为用户名提供或不提供密码,以测试是否有配置错误。
要针对每台服务器尝试处理完全认证,请输入以下命令:
testldapserver -username username -password password
- 输入以下命令以启用 LDAP 认证:
chauthservice -type ldap -enable yes
- 配置不需要 Secure Shell (SSH) 密钥访问的用户。
删除必须使用远程认证服务并且不需要 SSH 密钥访问的系统用户。
Remember: superuser 无法被删除,也不能使用远程认证服务。
- 配置需要 SSH 密钥访问的用户。
所有使用远程认证服务并需要 SSH 密钥访问的系统用户都必须已启用远程设置,并且已在系统上配置了有效的 SSH 密钥。